Der er fortsat stor usikkerhed om kommunernes rolle i den nye EU-lovgivning om NIS2. Forperson i Cybersikkerhedsrådet Jacob Herbst siger, at han gerne havde set kommunerne direkte omfattet af NIS2, men at regeringens lovforslag om NIS2 foreslår en minimumsimplementering af EU-direktivet, der holder kommunerne udenfor.
Forsvarsminister Troels Lund Poulsens (V) lovforslag, der skal implementere EU´s NIS2 direktiv, er sendt i høring. EU-direktivet giver mulighed for at inkludere “offentlige forvaltningsenheder på lokalt plan” til beskyttelse af samfundets kritiske infrastruktur og cyberværn over for hackere, men her har forsvarsministeren valgt en minimumsimplementering, der holder kommunerne udenfor.
Jacob Herbst: ”EU-direktivet åbner for, at kommunerne kan blive eksplicit omfattet af NIS2 og dermed får konkrete krav til deres cybersikkerhed. Men det har regeringen valgt ikke at gøre. Jeg havde gerne set, at kommunerne blev fuldt omfattet af NIS2. Når kommunerne så alligevel bliver nævnt i lovforslaget og i et vist omfang alligevel bliver ramt af NIS2, skyldes det, at kommunerne leverer en række services inden for forsyning, borgervendte services inden for hjemmesygepleje, borgervendte data, veje og indsamling af skrald”.
”Jeg mener kommunerne leverer så mange samfundskritiske services og de behandler og gemmer data om mange borgere, hvilket er vigtigt for os alle, så skal de også have et højt niveau af cybersikkerhed. Ved at holde kommunerne udenfor, og regioner og stat indenfor, får vi sat hegn op i forskellige højder rundt om vores offentlige services. Det er uhensigtsmæssigt,” siger Jacob Herbst.
En anden sikkerhedsekspert, Partner i PwC Mads Nørgaard: ”Der er ingen tvivl om, at kommunerne bliver påvirket af NIS2. Men vi ved bare ikke på nuværende tidspunkt og i hvilket omfang. Vi ved, at lovforslaget lægger op til en minimumsimplementering. Alle – både virksomheder og kommuner - har dog brug for at løfte sikkerhedsniveauet. NIS2 er et rigtig godt værktøj, da den er operationel. Derfor bør der også følge penge med til at dække kommunernes omkostninger ved implementeringen, da sikkerhedsniveauet i et digitalt samfund ikke kan løftes, uden at der investeres yderligere i kritisk infrastruktur. Kommunerne har ikke selv de penge”.
I lovforslaget fra Forsvarsministeriet er der lagt op til, at kommunerne bliver kompenseret økonomisk i et eller andet omfang. Der foreslås et beløb på mellem 95 og 280 mio. kr. til at dække de udgifter, kommunerne vil have til beskyttelse af kritisk infrastruktur.
Så på den ene side er kommunerne ikke med i NIS2, på den anden side er de med alligevel på grund af de kommunale services som de udbyder.
Jacob Herbst: ”Der er en masse uklarhed om, hvor meget eller lidt kommunerne bliver omfattet af lovgivningen. Det ville have været bedre med mere klare linjer, så alle vidste, hvordan de skulle forberede sig til at løfte den store opgave – at hæve sikkerhedsniveauet. Det gælder alle - både myndigheder og private virksomheder”.
Lovforslaget om NIS2 er opdelt i ”sektorer”, der alle er kritiske for samfundet at opretholdea. Det er sektorer som vand, spildevand, el, varme, skrald, sundhed og offentlig administration. Lovforslaget er en hovedlov, som bliver suppleret af en række ”sektor bekendtgørelser”, og det bliver formentlig via disse klart, hvor meget og hvordan kommunerne bliver omfattet af NIS2.
”Det er ikke specielt nemt for en kommune at arbejde med sikkerhed opdelt i sektorer. Hvis man forestiller sig, at man både skal arbejde med beskyttelse af vandforsyning, og et andet område social sundhed. Det vil være nemmere for kommuner at arbejde med NIS2 som en helhed, da NIS2 er et operationelt værktøj, som kommunerne kan arbejde sammen om på tværs af kommunerne i stedet for at arbejde med det, hver for sig og sektor for sektor,” siger Mads Nørgaard.
Jacob Herbst stemmer i.
”Vi kommer ind i at skulle præcisere lovgivningen for at finde ud af, om man som kommune er omfattet eller ej. Kommunerne er jo udenfor NIS2, men det skal på de enkelte services afklares hvor meget eller lidt de skal være med. I lovteksten opereres i private virksomheder med antal ansatte og størrelsen i omsætning. Kommer der en fortolkning, hvor vi kan risikere, at der er så få ansatte på et fagområde i en mindre kommune, at de kan krybe under lovgivningens minimum og derfor ikke er omfattet”.
Mads Nørgaard: ”Min største bekymring går på, hvis kommunerne ikke investerer i sikkerheden. Vi kan ikke løse sikkerheden ved at prioritere ressourcerne til sikkerhed op mod velfærden. Vi er nødt til at hæve sikkerhedsniveauet i kommunerne, i takt med at trusselsniveauet stiger. Kommunerne har mange personfølsomme data om borgerne og leverer mange af de borgervendte services. Derfor er de en lækkerbisken for hackerne at komme ind i. Det er vigtigt, vi bliver rigtig ambitiøse på dette område – for kommunernes og for borgernes skyld.”
Jacob Herbst: ”NIS2 er virkelig god lovgivning. Og jeg vil håbe, at alle kommuner bruger NIS2 som en anledning til bedre beskyttelse af data og systemer, uanset om de bliver omfattet af lovgivningen eller ej. For intentionen med NIS2 er at alle samfundskritiske funktioner skal beskyttes ordentlig – offentlige såvel som private”
Fakta
NIS2 forventes at træde i kraft 1. marts 2025 i stedet for 1. januar 2025, som det tidligere har været gældende. Dermed bliver det forsinket to måneder.